.htaccess 파일로 웹 사이트 디렉토리를 보호합니까?

StackOverflow https://stackoverflow.com/questions/869072

문제

.htaccess 파일 (public apache webroot 외부 .htpasswd 파일 포함)이있는 웹 디렉토리를 보호하는 것이 디렉토리 (및 그 내용)를 보호하는 안전한 방법인지 궁금합니다.

누군가가 이런 종류의 보호에 대한 행동과하지 않는 것을 설명 할 수 있습니까?

도움이 되었습니까?

해결책

표준 HTTP 프로토콜을 사용하면 인증이 그물에 보호되지 않습니다. 누군가가 암호를 스니핑 할 수 있기 때문에 이것은 안전한 것으로 간주되지 않습니다.

ACC를 HTTP로 제한하면 매우 안전합니다. 이것은 SSL 암호화 된 HTTP 트래픽 (포트 433, https : // 브라우저의 https : //) 용 Apache 모듈을 설치하고 활성화하고 포트 80 의이 디렉토리의 표준 HTTP 트래픽을 비활성화하는 것을 의미합니다. 사용자 이름과 비밀번호는 SSL입니다. 암호화. 우수한 암호를 선택하십시오 (길고 복잡하고 추측하거나 무차별 한 힘이 없음).

Apache 구성은 까다로울 수 있으므로 간단하게 유지하고 가능한 실수를 테스트하기 위해 많은주의를 기울이십시오.

지식과 제어가있는 경우 액세스 제한 구성을 .htaccess 파일에서 기본 Apache 구성 파일로 이동하는 것이 좋습니다. .htacces 파일에 보관하기가 더 쉬울 수도 있습니다. 그리고 "쉬운"은 더 안전 할 수 있습니다. 단순하고 안전하며 유지하기가 쉬우 며 기억하는 방식으로 수행하십시오.

이것은 보안을 향상시키고 사고로부터 보호하기위한 간단한 설정입니다.

PHP가있는 경우 Protected Directory가있는 컴퓨터에 구성된 이메일이있는 경우 간단한 알람 스크립트를 작성할 수 있습니다. PHP 메일 함수가있는 한 줄이있는 PHP 파일 "Alarm.php"만 이메일을 보내는 전자 메일을 보냅니다.

도메인 및 디렉토리 경로 인 경우 "http://mybox.example.com/secretdir/alarm.php"다른 컴퓨터의 브라우저에 입력 할 수 있으며 htaccess가"열린 "동안 해당 메일을 가져와야합니다. 보호되면 사용자 이름과 비밀번호를 입력 할 수 있으며 메일도 얻을 수 있습니다.

이를 통해 자동 알람을 만들려면 15 분 정도 마다이 URL을 얻으려고 시도하는 다른 Unix 상자를 사용할 수 있습니다. Crontab의 라인 :

*/15 * * * * * user1 wget http://mybox.example.com/secretdir/alarm.php

User1 은이 컴퓨터의 사용자이며 WGET를 실행할 수 있으며 WGET를 설치해야합니다.

테스트로 htaccess 보호를 비활성화 할 수 있으며 15 분마다 우편물을 가져와야합니다.

내 경험에 따르면, 당신이 보호된다고 생각하는 디렉토리가 무언가를 변경할 때 보호를 풀고, 알지 못한다는 것은 일반적인 보안 결함입니다. 이렇게하면 경고하는 이메일을 얻습니다.

다른 팁

내가 아는 한, htaccess는 인터셉트 된 경우 해킹하기 쉽습니다 (네트워크 스나이퍼가 실행되는 인터넷 카페에서 로그인하는 Fe). 내가 아는 한, 소화 인증 그 문제를 극복하는 데 도움이됩니다.

.htaccess는 Apache HTTPD가 제공하는 리소스에 대한 디렉토리 별 구성 변경을 만드는 방법입니다. 액세스 할 수 없습니다 기본 구성 파일/루트 액세스가없는 경우.

기본 구성에 액세스 할 수있는 경우 하나의 중앙 위치 (여러 파일로 분할 된 경우에도)에 모든 구성 (인증 포함)을 배치하는 것이 훨씬 쉽습니다. 내가 말할 수있는 내 경험에서, 그것은 당신이 당신을 잊기 전에 시간 문제 일뿐입니다. .htaccess 파일.

공식 문서는 여러 차례에 대해 언급하고 있습니다. .htaccess 가능하면 파일을 피해야합니다.

사용하는 경우 .htaccess 메인 HTTPD 구성과 마찬가지로 일반적인 보안 예방 조치를 따르십시오. 즉, 무단 사용자가 읽지 못하도록 방지하고, 서버에서 파일을 읽을 수 있고, 디렉토리 목록을 비활성화하고, 암호가 암호화 된/해시에 저장되어 있는지 확인하십시오. 형식 등

자세한 내용은 확인하십시오 아파치 htaccess 지도 시간

.htaccess 파일은 매우 편리하지만 ... 누군가가 코드를 이용하고 원하는 파일을 읽는 사람으로부터 당신을 보호하지는 않습니다. 해커가 스크립트를 실행하는 사용자의 권한을 얻을 수 있으므로 사이트 (작은 스크립트)가 악용되거나 .htaccess 또는 기타 솔루션이 귀하를 보호 할 것입니다 (일반적으로 www-data).

이것은 CGI에서 특히 고통 스럽지만 다른 스크립트도 해킹되고 있습니다.

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top